В поисках новых техник для нашей внутренней кастомной версии матрицы MITRE (о том как мы ее ведем рассказывал в этой заметке) наткнулся на репозиторий SaaS attack techniques от Push Security. В нем собраны техники атак на SaaS платформы (Software as a Service) смапленные на MITRE. Практически в любой компании можно найти продукты по этой модели распространения (почта, офисные приложения, ЭДО, рекламная аналитика и пр)😎

Поэтому сегодня предлагаю рассмотреть технику SAMLjacking из этого списка для получения первоначального доступа. По сути это фишинг для получения учетных данных с использованием SaaS SSO функциональности.

Злоумышленик регистрирует аккаунт у SaaS провайдера, создает приглашения присоединиться к "новому корпоративному аккаунту" для списка целей, которое приходит им на почту с легитимного домена SaaS провайдера, например Miro, Мой Офис, Контур и пр.

SSO url для этого аккаунта настроен на сервер под контролем злодея сразу же, либо переключается уже в процессе через некоторое время использования сервиса, чтобы усыпить бдительность потенциальных жертв. Так злоумышленник получает учетные данные жертвы при аутентификации через SSO.

Таким образом, при наличии убедительного претекста, это вполне эффективная техника получения первоначального доступа, которая используется в дикой природе особенно в отношении новых сотрудников в период онбординга.